- •1 Галузь використання
- •2 Нормативні посилання
- •3 Визначення
- •4 Позначення і скорочення
- •5 Побудова і структура критеріїв захищеності інформації
- •Критерії
- •6 Критерії конфіденційності
- •6.1 Довірча конфіденційність
- •6.2 Адміністративна конфіденційність
- •6.3 Повторне використання об'єктів
- •6.4 Аналіз прихованих каналів
- •6.5 Конфіденційність при обміні
- •7 Критерії цілісності
- •7.2 Адміністративна цілісність
- •7.3 Відкат
- •8 Критерії доступності
- •8.1 Використання ресурсів
- •8.2 Стійкість до відмов
- •8.3 Гаряча заміна
- •8.4 Відновлення після збоїв
- •9 Критерії спостереженості
- •9.1 Реєстрація
- •9.2 Ідентифікація і автентифікація
- •9.3 Достовірний канал
- •9.4 Розподіл обов'язків
- •9.5 Цілісність комплексу засобів захисту
- •9.6 Самотестування
- •9.7 Ідентифікація і автентифікація при обміні
- •9.8 Автентифікація відправника
- •9.9 Автентифікація отримувача
- •10 Критерії гарантій
- •10.1 Архітектура
- •10.2 Середовище розробки
- •10.3 Послідовність розробки
- •10.4 Середовище функціонування
- •10.5 Документація
- •10.6 Випробування комплексу засобів захисту
- •Додаток а Функціональні послуги
- •А.1 Критерії конфіденційності
- •А.1.1 Довірча конфіденційність
- •А.1.2 Адміністративна конфіденційність
- •А.1.3 Повторне використання об'єктів
- •А.1.4 Аналіз прихованих каналів
- •А.1.5 Конфіденційність при обміні
- •А.2 Критерії цілісності
- •А.2.2 Адміністративна цілісність
- •А.2.3 Відкат
- •А.3 Критерії доступності
- •А.3.1 Використання ресурсів
- •А.3.2 Стійкість до відмов
- •А.3.3 Гаряча заміна
- •А.3.4 Відновлення після збоїв
- •А.2 Критерії спостереженості
- •А.2.1 Реєстрація
- •А.2.2 Ідентифікація і автентифікація
- •А.2.3 Достовірний канал
- •А.2.4 Розподіл обов'язків
- •А.2.5 Цілісність комплексу засобів захисту
- •А.2.6 Самотестування
- •А.2.7 Ідентифікація і автентифікація при обміні
- •А.2.8 Автентифікація відправника
- •А.2.9 Автентифікація одержувача
- •Додаток б Гарантії і процес оцінки
- •Б.1 Архітектура
- •Б.2 Середовище розробки
- •Б.3 Послідовність розробки
- •Б.4 Середовище функціонування
- •Б.5 Документація
- •Б.6 Випробування комплексу засобів захисту
5 Побудова і структура критеріїв захищеності інформації
В процесі оцінки спроможності комп'ютерної системи забезпечувати захист оброблюваної інформації від несанкціонованого доступу розглядаються вимоги двох видів:
вимоги до функцій захисту (послуг безпеки);
вимоги до гарантій.
В контексті Критеріїв комп'ютерна система розглядається як набір функціональних послуг. Кожна послуга являє собою набір функцій, що дозволяють протистояти певній множині загроз. Кожна послуга може включати декілька рівнів. Чим вище рівень послуги, тим більш повно забезпечується захист від певного виду загроз. Рівні послуг мають ієрархію за повнотою захисту, проте не обов'язково являють собою точну підмножину один одного. Рівні починаються з першого (1) і зростають до значення n, де n — унікальне для кожного виду послуг.
Функціональні критерії розбиті на чотири групи, кожна з яких описує вимоги до послуг, що забезпечують захист від загроз одного із чотирьох основних типів.
Конфіденційність. Загрози, що відносяться до несанкціонованого ознайомлення з інформацією, становлять загрози конфіденційності. Якщо існують вимоги щодо обмеження можливості ознайомлення з інформацією, то відповідні послуги треба шукати в розділі “Критерії конфіденційності”. В цьому розділі описані такі послуги (в дужках наведені умовні позначення для кожної послуги): довірча конфіденційність, адміністративна конфіденційність, повторне використання об'єктів, аналіз прихованих каналів, конфіденційність при обміні (експорті/імпорті).
Цілісність. Загрози, що відносяться до несанкціонованої модифікації інформації, становлять загрози цілісності. Якщо існують вимоги щодо обмеження можливості модифікації інформації, то відповідні послуги треба шукати в розділі “Критерії цілісності”. В цьому розділі описані такі послуги: довірча цілісність, адміністративна цілісність, відкат і цілісність при обміні.
Доступність. Загрози, що відносяться до порушення можливості використання комп'ютерних систем або оброблюваної інформації, становлять загрози доступності. Якщо існують вимоги щодо захисту від відмови в доступі або захисту від збоїв, то відповідні послуги треба шукати в розділі “Критерії доступності”. В цьому розділі описані такі послуги: використання ресурсів, стійкість до відмов, горяча заміна, відновлення після збоїв.
Спостереженість. Ідентифікація і контроль за діями користувачів, керованість комп'ютерною системою становлять предмет послуг спостереженості і керованості. Якщо існують вимоги щодо контролю за діями користувачів або легальністю доступу і за спроможністю комплексу засобів захисту виконувати свої функції, то відповідні послуги треба шукати у розділі “Критерії спостереженості”. В цьому розділі описані такі послуги: реєстрація, ідентифікація і автентифікація, достовірний канал, розподіл обов'язків, цілісність комплексу засобів захисту, самотестування, автентифікація при обміні, автентифікація відправника (невідмова від авторства), автентифікація одержувача (невідмова від одержання).
Крім функціональних критеріїв, що дозволяють оцінити наявність послуг безпеки в комп'ютерній системі, цей документ містить критерії гарантій, що дозволяють оцінити коректність реалізації послуг. Критерії гарантій включають вимоги до архітектури комплексу засобів захисту, середовища розробки, послідовності розробки, випробування комплексу засобів захисту, середовища функціонування і експлуатаційної документації. В цих Критеріях вводиться сім рівнів гарантій (Г-1, ..., Г-7), які є ієрархічними. Ієрархія рівнів гарантій відбиває поступово наростаючу міру певності в тому, що реалізовані в комп'ютерній системі послуги дозволяють протистояти певним загрозам, що механізми, які їх реалізують, в свою чергу коректно реалізовані і можуть забезпечити очікуваний споживачем рівень захищеності інформації під час експлуатації комп'ютерної системи.
Структуру Критеріїв показано на рисунку 1.
Всі описані послуги є більш-менш незалежними. Якщо ж така залежність виникає, тобто реалізація якої-небудь послуги неможлива без реалізації іншої, то цей факт відбивається як необхідні умови для даної послуги (або її рівня). За винятком послуги аналіз прихованих каналів залежність між функціональними послугами і гарантіями відсутня. Рівень послуги цілісність комплексу засобів захисту НЦ-1 є необхідною умовою абсолютно для всіх рівнів всіх інших послуг.
Порядок оцінки комп'ютерної системи на предмет відповідності цим Критеріям визначається відповідними нормативними документами. Експертна комісія, яка проводить оцінку комп'ютерної системи, визначає, які послуги і на якому рівні реалізовані в даній комп'ютерній системі, і як дотримані вимоги гарантій. Результатом оцінки є рейтинг, що являє собою упорядкований ряд (перелічення) буквено-числових комбінацій, що позначають рівні реалізованих послуг, в поєднанні з рівнем гарантій. Комбінації упорядковуються в порядку опису послуг в критеріях. Для того, щоб до рейтингу комп'ютерної системи міг бути включений певний рівень послуги чи гарантій, повинні бути виконані всі вимоги, перелічені в критеріях для даного рівня послуги або гарантій.